A Google revelou que grupos patrocinados por Estados-nação estão utilizando seu modelo de inteligência artificial Gemini para apoiar fases estratégicas do ciclo de ataque cibernético. Segundo o relatório do Google Threat Intelligence Group (GTIG), o grupo norte-coreano Lazarus Group rastreado como UNC2970 empregou a IA para realizar reconhecimento (recon), sintetizar OSINT e mapear alvos de alto valor nos setores de defesa e cibersegurança.

De acordo com o relatório, o grupo utilizou o Gemini para levantar informações sobre empresas estratégicas, cargos técnicos específicos e até faixas salariais, permitindo a criação de campanhas altamente personalizadas de phishing sob o disfarce de recrutadores corporativos uma evolução da conhecida Operation Dream Job.

O uso da IA por atores estatais não se limita ao reconhecimento. O Google identificou diferentes grupos explorando o Gemini para:

• Automatizar análise de vulnerabilidades

• Gerar planos de exploração direcionados

• Desenvolver web shells e scanners

• Criar personas convincentes para engenharia social

• Depurar código malicioso

• Construir kits de phishing gerados por IA

Entre os grupos mencionados estão APT31, APT41, Mustang Panda e APT42 (Irã), evidenciando que o uso de IA ofensiva está se tornando prática comum entre diferentes nações.

Um dos casos mais preocupantes envolve o malware HONESTCUE, que utiliza a API do Gemini para gerar dinamicamente código C# para estágios secundários do ataque. O payload é compilado e executado diretamente em memória via .NET, sem deixar artefatos em disco técnica que dificulta detecção por ferramentas tradicionais de EDR.

Outro exemplo é o kit de phishing COINBAIT, criado com suporte de IA generativa, que simula plataformas de criptomoedas para roubo de credenciais.

O Google também relatou tentativas de model extraction, nas quais atacantes enviaram mais de 100 mil prompts para tentar replicar o comportamento do Gemini e construir um modelo substituto. Esse tipo de ataque explora a premissa de que o comportamento exposto via API pode servir como base para treinar uma réplica funcional.

Especialistas alertam: manter apenas os pesos do modelo privados não é suficiente o comportamento exposto nas respostas pode ser explorado sistematicamente.

O relatório reforça uma tendência clara: adversários estão usando IA para aumentar velocidade, escala e sofisticação dos ataques. Isso inclui:

• Phishing altamente contextualizado

• Reconhecimento automatizado

• Geração de código malicioso sob demanda

• Uso de IA para burlar proteções baseadas em persona

Segundo o próprio Google, a resposta está na adoção de capacidades defensivas baseadas em IA que operem na mesma velocidade de máquina.

Estamos entrando em uma fase em que a IA não é apenas uma ferramenta auxiliar, mas parte integrada da infraestrutura ofensiva. O diferencial competitivo não estará apenas em quem possui mais dados ou melhores modelos, mas em quem consegue integrar IA de forma estratégica na defesa.